Seit letzter Woche läuft die Vernehmlassung zum Bundesgesetz über die elektronische Signatur
Seit letzter Woche läuft die Vernehmlassung zum Bundesgesetz über die elektronische Signatur. Mit der Anerkennung der digitalen Signatur legt der Gesetzgeber einen wichtigen Grundstein für den elektronischen Handel der Zukunft. Doch eine solche Regelung hat weitreichende Konsequenzen. Diese wurden bisher kaum diskutiert. Bei genauerer Betrachtung zeigt es sich, dass die Anerkennung der digitalen Signatur nicht jene Rechtssicherheit in Online-Geschäften bringen dürfte, die sich viele erhofft haben.
Die digitale Signatur basiert auf der asymmetrischen Verschlüsselung, bei der zwei Schlüssel, einprivater und ein öffentlicher, dazu benutzt werden können, um in elektronischen Netzen Kommunikationspartner zu authentifizieren sowie die Integrität der Daten und die Vertraulichkeit der Datenübermittlung zu gewährleisten. Die Technik kann zum Schutz von Dokumenten vor Manipulationen benutzt werden wie für digitale Ausweise im Internet.
Dass sich auch der Gesetzgeber dieser Entwicklung annehmen muss, ist schon seit vielen Jahren klar. Die EU hat den Schritt bereits getan. In der Schweiz blieb das Dossier lange liegen, bis der Bundesrat sich im letzten April durchrang, auch ohne handfeste Rechtsgrundlage eine Verordnung zu verabschieden, die Qualitätsanforderungen an jene Beglaubigungsstellen definiert, die für den öffentlichen Einsatz von Signaturen nötig sind. Der letzte Woche in die Vernehmlassung gesandte Vorentwurf zum Bundesgesetz über dieelektronische Signatur (BGES) soll diese Zertifizierungsdienste-Verordnung in ein Gesetz überführen, sie ergänzen und das Obligationenrecht um eine Anerkennung elektronischer Signaturen erweitern.
Digitale Signatur ist keine Unterschrift
Soll eine Signatur rechtlich relevant werden, müssen diverse Voraussetzungen erfüllt sein. Jemand muss beglaubigen, dass der private Schlüssel der genannten Person gehört. Das tun die Zertifizierungsdienste, die mit dem BGES geregelt werden. Der Inhaber muss seine Bereitschaft kundgetan haben, am elektronischen Geschäftsverkehr teilnehmen zu wollen, die Signatur muss – wo dies nicht vertraglich geschieht – durch das Gesetz «anerkannt» sein. Ist das geschehen, soll der Empfänger einer gesetzeskonform signierten Erklärung darauf vertrauen können, dass der Inhaber der Signatur dafür einstehen muss. Das ist die Theorie.
Doch eine digitale Signatur ist – entgegen einem weit verbreiteten Missverständnis – keine persönliche Unterschrift, wie es eine Unterschrift von Hand ist. Anders als letztere ist eine Signatur faktisch übertragbar, weil alles, was es zu deren «Erzeugung» braucht – der private Schlüssel -, eine Zahlenkombination ist. Der Inhaber wird diesen zwar im eigenen Interesse geheim halten. Tut er dies aber nicht, und wird der Schlüssel von einem Dritten benutzt – was der Empfänger der Signatur nicht ansieht -, liegt plötzlich ein Fall von Stellvertretung vor, wie ihn das Obligationenrecht schon lange kennt. Das soll wiederum zur Folge haben, dass der Inhaber einer anerkannten Signatur nur dann für eine mit seiner Signatur versehene Vertragserklärung einstehen muss, wenn er dieser vorgängig oder nachträglich zugestimmt hat. Wird also die Signatur einer Personnachweislich ohne deren Zustimmung für Vertragserklärungen gebraucht, wird sie nicht verpflichtet; allenfalls trifft sie und den wahren Signierer eine Haftung, doch der Vertrag ist nicht zustande gekommen. Bei einer vom Signaturinhaber selbst unterzeichneten Vertragserklärung auf Papier gäbe es diese Rückzugsmöglichkeit nicht, weil eine eigenhändige Unterschrift einer Person naturgemäss nicht durch Dritte möglich ist; Dritte könnten sie höchstens fälschen, doch das ist ein völlig anderer Fall.
Wer eine mit einer anerkannten Signatur versehene Vertragserklärung erhält, hat somit keineswegs dieselbe Gewissheit auf Verbindlichkeit wieim Falle einer eigenhändig unterzeichneten Erklärung. Immerhin sieht der Gesetzesvorschlag aus diesem Grund als Ausgleich die Haftung des Signaturinhabers vor, sollte dieser seinen privaten Schlüssel nicht gut geschützt haben. Ebenso wird eine Beweislastumkehr vorgesehen: Der Signaturinhaber muss im Streitfall beweisen, dass die Signatur ohne seinen «Willen» erzeugt wurde. Es ist aber unklar, wie ein solcher Beweis erbracht werden kann und wie diese Regelung in das bestehende Vertragsrecht passt. Zu denken ist zudem nicht nur an Fälle gestohlener Privatschlüssel, sondern auch an Manipulationen etwa durch Viren oder Softwarefehler: Der Kunde glaubt eine Erklärung A zu signieren, während im Computer in Tat und Wahrheit eine Erklärung B signiert wird. Da die Signierung ein hochtechnischer Vorgang ist, muss der Benutzer darauf vertrauen, dass in seinem Computer alles richtig läuft. So wird es dank Anerkennung digitaler Signaturen zwar einfacher, in einem Streitfall die Herkunft einer elektronischen Erklärung zu beweisen. Es eröffnen sich aber womöglich neueSchlupflöcher, die die gewonnene Rechtssicherheit zunichte machen könnten.
Nachteile für Konsumenten
Ein weiteres Missverständnis in Sachen digitaler Signatur betrifft den Marktbedarf für eine gesetzlich anerkannte Signatur. Der Bedarf wird längerfristig zweifellos gross sein, und darum muss die Diskussion darüber früh beginnen. Heute ist der echte Bedarf einer anerkannten Signatur im Vertragsrecht jedoch noch gering, wirtschaftlich wie rechtlich. Die meisten für eine rein elektronische Online-Abwicklung relevanten Geschäfte können heute schon rechtsgültig online vereinbart werden. Ebenso lassen sich digitale Signaturen bereits heute rechtsverbindlich einsetzen, falls die Parteien dies so vereinbaren, zum Beispiel beim Internet-Banking. Das wird auch immer öfter der Fall sein, vor allem bei Business- to-Business-Transaktionen.
Solche Geschäfte unter Firmen sowie der Verkehr mit Behörden – und nicht das Online-Shopping von Verbrauchern – werden die ersten relevanten Anwendungsbereiche gesetzlich anerkannter Signaturen sein. Denn warum sollte ein Konsument, der gegenwärtig ohne weiteres im Internet nach Lust und Laune shoppen kann, eine gesetzlich anerkannte digitale Signatur einsetzen?Er hat vorerst nur Nachteile, da er ein zusätzliches Haftungsrisiko eingeht.
Der Zug rollt an
Die Reichweite der vorgeschlagenen Gleichstellung mit der eigenhändigen Unterschrift wirdebenfalls oft missverstanden. Im Bereich des Verkehrs mit Behörden bringt sie – vom Verkehr gewisser Register abgesehen – so gut wie nichts.Grundsätzlich betrifft die Anpassung nur das Vertragsrecht und jene Bestimmungen, die darauf aufbauen. Zwar kann es sein, dass Gerichte oder Behörden in anderen Bereichen die dortige Lösung nachahmen; das vorgeschlagene Bundesgesetz bietet eine gute Basis. Eine digital signierte Steuererklärung ist allein damit aber noch nicht möglich. Auch Unternehmen können keine anerkannten Signaturen registrieren; es gibt sie nur für natürliche Personen, die aber für eine Firma zeichnen können.
Hinzu kommt, dass nur ganz bestimmte Typen von digitalen Signaturen «anerkannt» werden. Es ist davon auszugehen, dass in den nächsten Jahren die überwiegende Zahl von Signaturen nicht diesen Typs sein werden. Auch ist es so, dass der Inhaber einer Signatur zum Ausdruck gebracht haben muss, dass er sie für Geschäfte einsetzen will. Er kann überdies ihre inhaltliche Geltung beschränken, indem er zum Beispiel erklärt, dass eine Signatur grundsätzlich nur für Geschäfte bis 1000 Franken gelten soll. Werden für solche Nutzungsbeschränkungen aber keine Standards geschaffen, kann auch dies für Rechtsunsicherheitensorgen, sobald der Text einer Nutzungsbeschränkung auslegungsbedürftig ist.
Mit dem BGES beginnt ein neues Zeitalter der rechtlichen Regelung des Geschäftsverkehrs. Es ist wichtig, dass die Schweiz rechtzeitig auf diesen Zug aufspringt. Blind sollte sie es aber nicht tun.
